问题描述
开启快速日志,但是日志主机不显示安全策略日志(主要是deny策略日志)
过程分析
1.勾选安全策略日志
命令行:
#开启快速日志输出功能
[H3C] customlog format packet-filter
#将报文过滤模块的日志快速输出到日志主机
[H3C] customlog host 172.31.0.90 export packet-filter(packet-filter:将报文过滤模块的日志快速输出到日志主机,此处可以理解为安全策略模块
aspflog sending-realtime enable命令用来开启日志的实时发送功能。参考SecCenter CSAP-NTA-AK375 无法外发安全日志到态势感知 - 知了社区
2.查看安全策略是否命中次数增加且有开启记录日志
3.查看安全策略日志是否产生(只要走快速日志没有硬盘的情况下就都看不到本地日志)
解决方法
将快速日志下的配置删除,包括命令行配置如:
customlog format packet-filter sgcc
customlog format security-policy sgcc
customlog format keepalive sgcc
不使用快速日志直接使用信息中心发送,日志主机可以正常识别
0
个评论
该案例暂时没有网友评论
编辑评论
✖
案例意见反馈
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖